2019-2020-4 网络对抗技术 20175228李玥琛 Exp4 恶意代码分析

1.实践目标

1.1是监控你自己系统的运行状态，看有没有可疑的程序在运行。

1.2是分析一个恶意软件，就分析Exp2或Exp3中生成后门软件；分析工具尽量使用原生指令或sysinternals,systracer套件。

1.3假定将来工作中你觉得自己的主机有问题，就可以用实验中的这个思路，先整个系统监控看能不能找到可疑对象，再对可疑对象进行进一步分析，好确认其具体的行为与性质。

2.1系统运行监控

使用如计划任务，每隔一分钟记录自己的电脑有哪些程序在联网，连接的外部IP是哪里。运行一段时间并分析该文件，综述一下分析结果。目标就是找出所有连网的程序，连了哪里，大约干了什么(不抓包的情况下只能猜)，你觉得它这么干合适不。如果想进一步分析的，可以有针对性的抓包。

使用
schtasks /create /TN netstat5228 /sc MINUTE /MO 5 /TR "cmd /c netstat -bn c:\netstatlog.txt"命令创建计划任务netstat5228

在C盘中创建一个netstat5228.bat脚本文件，写入以下内容

打开任务计划程序，可以看到新创建的这个任务

双击这个任务，点击操作并编辑，将“程序或脚本”改为我们创建的netstat5228.bat批处理文件

执行此脚本一定时间，就可以在netstat5228.txt文件中查看到本机在该时间段内的联网记录

通过excel进行统计：

可以看到许多软件，钉钉，VMware，浏览器，电脑管家等等应用程序，都是常用的，没有可疑进程。

安装配置sysinternals里的sysmon工具，设置合理的配置文件，监控自己主机的重点事可疑行为。

下载老师给的安装包并解压sysinternals，右键Sysmon64.exe，在属性->详细信息查看产品版本

写配置文件

以管理员身份运行Sysmon64.exe -i sysmon20175228.xml


在事件查看器，在应用程序和服务日志-Microsoft-Windows-Sysmon-Operational可以看到按照配置文件的要求记录的新事件，以及事件ID、任务类别、详细信息等等

2.2.恶意软件分析

静态分析

检测后门程序，查看详细信息，可以看到MD5。SHA-1，SHA-256等信息。

动态分析

安装systracer

捕获五个快照如下：

• 快照一：未移植后门程序，保存为Snapshot #1
• 快照二：移植后门程序，保存为Snapshot #2
• 快照三：运行后门程序并在kali中实现回连，保存为Snapshot #3
• 快照四：在kali中执行dir指令，保存为Snapshot #4
• 快照五：在kali中执行exit 指令，保存为Snapshot #5

3.1实验后回答问题

（1）如果在工作中怀疑一台主机上有恶意代码，但只是猜想，所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些，用什么方法来监控。
用schtasks建立每隔一段时间对主机联网状态的记录，监视进程改变了哪些注册表文件以及与哪些dll文件有关，如果有可疑行为一定要及时报告。
（2）如果已经确定是某个程序或进程有问题，你有什么工具可以进一步得到它的哪些信息。
用wireshark进行抓包；用SYSTracer拍摄快照；用sysmon进行针对相应的ip或者端口及ip进行日志文件的观测。

3.2实验总结与体会

我万万没想到，做这个实验全是bug，每一个步骤都会出现问题，因此花了好久。。甚至有一个步骤完全没做出来。